Politique de divulgation des vulnérabilités

Introduction

Ansell est un expert mondial en solutions de sécurité qui réinvente la protection individuelle depuis 125 ans. Nous fournissons les solutions de protection les plus avancées à des millions de personnes, au travail et à la maison, afin de les mettre à l'abri du danger. Notre expertise, nos produits innovants et nos technologies avancées assurent à nos clients une tranquillité d’esprit et une fiabilité qu’aucune autre marque ne peut égaler. Ansell a pour mission d’offrir des solutions de sécurité novatrices pour assurer une protection de confiance partout dans le monde.

Cette politique vise à donner aux chercheurs en sécurité des lignes directrices claires pour mener des activités de découverte de vulnérabilités et à leur faire part de nos préférences quant à la manière de nous soumettre les vulnérabilités découvertes dans le domaine de la cybersécurité.

Cette politique décrit les systèmes et les types de recherche couverts par cette politique, la manière de nous envoyer des rapports sur les vulnérabilités et le délai que nous demandons aux chercheurs en sécurité d'attendre avant de divulguer publiquement une vulnérabilité en matière de cybersécurité.

Nous vous encourageons à nous contacter pour nous signaler toute vulnérabilité potentielle de nos systèmes.

Autorisation

Si vous vous efforcez de bonne foi de respecter cette politique au cours de votre recherche de sécurité, nous considérerons que votre recherche est autorisée et nous travaillerons avec vous pour comprendre et résoudre rapidement tout problème de cybersécurité, et Ansell ne recommandera ni ne poursuivra d'action en justice liée à votre recherche. Si une action en justice est engagée par un tiers contre vous pour des activités menées conformément à la présente politique, nous vous ferons part de cette autorisation.

Conseils

1. Signaler les vulnérabilités nouvelles et uniques en matière de cybersécurité: Cela nous permet de nous concentrer sur la résolution des risques les plus importants pour nous et nos clients. Ne pas soumettre un grand nombre de rapports de faible qualité/faible risque
2. Ne pas compromettre les systèmes ou exfiltrer les données: N'utiliser les exploits que dans la mesure nécessaire pour confirmer la présence d'une vulnérabilité en matière de cybersécurité. Une fois que vous avez obtenu suffisamment d'informations pour indiquer un problème de sécurité, n'essayez pas d'établir une persistance, de cibler, d'énumérer ou d'exfiltrer des données internes, d'établir un accès à la ligne de commande ou d'utiliser une vulnérabilité pour accéder à d'autres systèmes. Arrêtez votre test et informez immédiatement Ansell si vous rencontrez des données sensibles (y compris des informations personnelles identifiables, des informations financières, des informations exclusives ou des secrets commerciaux d'une partie).
3. Respecter les autres: ne pas le faire : violer la vie privée des employés ou des clients d'Ansell, accéder ou tenter d'accéder à des données qui ne vous appartiennent pas ; provoquer une dégradation de l'expérience utilisateur, mener des attaques non techniques (par exemple, ingénierie sociale, phishing ou accès non autorisé à l'infrastructure et aux employés d'Ansell) ou effectuer toute action susceptible d'affecter négativement Ansell ou ses clients ; provoquer une perturbation des systèmes de production, ainsi que l'exposition, la destruction ou la manipulation de données.
4. Collaborer: collaborez avec nous uniquement dans le cadre de notre processus de divulgation coordonnée dès qu'une vulnérabilité en matière de cybersécurité est identifiée. L'adresse électronique et le formulaire Web HTTPS sont disponibles ci-dessous.
5. Notifiez-nous (en suivant les étapes ci-dessous) dès que vous découvrez un problème de sécurité réel ou potentiel dans notre système. Nous souhaitons traiter rapidement ces questions et demandons à ce que le délai de notification ne soit pas sacrifié pendant que vous effectuez d'autres recherches, par exemple sur d'autres produits.
6. Accordez-nous un délai raisonnable pour résoudre le problème avant de le rendre public. 90 jours calendaires à compter de la date de réception par nos soins (logiciels, y compris les systèmes basés sur le cloud et les applications mobiles) ou 120 jours calendaires à compter de la date de réception par nos soins (matériel, micrologiciel et sans fil).

Divulgation publique

Comme indiqué dans les lignes directrices ci-dessus, pour respecter cette politique, nous vous demandons de ne pas partager votre rapport sur Ansell avec d'autres personnes avant de nous le soumettre et pendant que nous enquêtons sur la vulnérabilité de cybersécurité suspectée et que nous travaillons éventuellement sur un correctif ou d'autres résolutions. Veuillez nous faire part de toute question relative à Ansell avant de procéder à une divulgation.

Nous vous informerons lorsque nous aurons finalisé nos conclusions après la résolution de la vulnérabilité en matière de cybersécurité. Pour respecter cette politique, nous vous demandons de faire un lien vers les conclusions de l'Ansell en même temps que vos propres conclusions dans tout article de blog, rapport public, présentation ou toute autre déclaration publique sur le sujet. Nous ne publierons pas d'informations vous concernant ou concernant nos communications avec vous sans votre autorisation, à l'exception d'une éventuelle chronologie générale concernant la vulnérabilité que vous avez portée à notre attention. Si vous souhaitez être reconnu, nous vous remercierons par votre nom ou votre nom de famille dans notre avis. Ansell ne crédite pas les employés ou les sous-traitants d'Ansell et de ses filiales pour les vulnérabilités qu'ils ont découvertes.

Dans la mesure où la présente politique fait référence à une " vulnérabilité " ou à des " vulnérabilités ", il est entendu que toutes ces références désignent des vulnérabilités potentielles ou suspectées en matière de cybersécurité, qu'elles soient mentionnées ou non, jusqu'à ce que ces vulnérabilités aient été examinées et confirmées par Ansell. La reconnaissance de la divulgation d'une vulnérabilité et le moment de cette reconnaissance sont laissés à notre entière discrétion, et nous pouvons annuler le programme à tout moment. Vos tests ne doivent pas enfreindre la loi.

Méthodes d'essai

Les méthodes d'essai suivantes ne sont pas autorisées :

• Tests de déni de service du réseau (DoS ou DDoS) ou autres tests qui empêchent l'accès à un système ou à des données ou les endommagent
• Tests physiques (par exemple, accès aux bureaux, portes ouvertes, filature), ingénierie sociale (par exemple, hameçonnage, hameçonnage vocal) ou tout autre test de vulnérabilité non technique.

Champ d’application

Cette politique s'applique aux systèmes et services suivants :

• https://ansell.com
• https://guardian.ansell.com
• https://ansellguardianpartner.com
• https://ansell.corvexconnected.com
• https://motion.inteliforz.com
• https://demo.motion.inteliforz.com
• Tout autre sous-domaine de ansell.com

Toutes les demandes des clients sont exclues de cette politique.

Vulnérabilités hors du champ d'application

Lorsque vous signalez des vulnérabilités, veuillez prendre en compte (1) le scénario d'attaque / l'exploitabilité, et (2) l'impact du bogue sur la sécurité. Les questions suivantes sont considérées comme hors champ :

• Détournement de clics sur des pages ne comportant pas d'actions sensibles
• Falsification de requête intersite (CSRF) sur des formulaires non authentifiés ou des formulaires ne comportant pas d'actions sensibles
• Attaques nécessitant un MITM ou un accès physique à l'appareil d'un utilisateur
• Bibliothèques vulnérables précédemment connues sans preuve de concept opérationnelle
• Injection de valeurs séparées par des virgules (CSV) sans démonstration de vulnérabilité.
• Absence de bonnes pratiques dans la configuration SSL/TLS.
• Toute activité susceptible d'entraîner une interruption de notre service (DoS)
• Problèmes d'usurpation de contenu et d'injection de texte sans montrer de vecteur d'attaque/sans pouvoir modifier HTML/CSS
• Problèmes de limitation du débit ou de force brute sur les points de terminaison non authentifiés
• Absence de bonnes pratiques dans la politique de sécurité du contenu
• Les drapeaux Http Only ou Secure manquent dans les cookies
• Absence de bonnes pratiques en matière de courrier électronique (enregistrements SPF/DKIM/DMARC invalides, incomplets ou manquants, etc.)
• Vulnérabilités affectant uniquement les utilisateurs de navigateurs obsolètes ou non corrigés [Moins de 2 versions stables après la dernière version stable publiée].
• Divulgation de la version du logiciel / Problèmes d'identification de la bannière / Messages d'erreur descriptifs ou en-têtes (par exemple, traces de pile, erreurs d'application ou de serveur)
• Tabnabbing
• Redirection ouverte - à moins qu'un impact supplémentaire sur la sécurité puisse être démontré
• Questions nécessitant une interaction improbable avec l'utilisateur

Tout service non expressément énuméré ci-dessus, tel que les services connectés, est exclu du champ d'application et n'est pas autorisé pour les essais. En outre, les vulnérabilités en matière de cybersécurité découvertes dans les systèmes de nos fournisseurs n'entrent pas dans le champ d'application de la présente politique et doivent être signalées directement au fournisseur conformément à sa politique de divulgation (le cas échéant). Si vous n'êtes pas sûr qu'un système entre dans le champ d'application ou non, contactez-nous à l'adresse security.vdr@ansell.com avant de commencer votre recherche.

Bien que nous développions et maintenions d'autres systèmes ou services accessibles par l'internet, nous demandons que la recherche active et les tests ne soient effectués que sur les systèmes et services couverts par le champ d'application du présent document. Si vous pensez qu'un système particulier ne figurant pas dans le champ d'application mérite d'être testé, veuillez nous contacter pour en discuter au préalable. Nous avons l'intention d'élargir le champ d'application de cette politique au fil du temps.

Signaler une vulnérabilité

Les informations communiquées dans le cadre de cette politique ne seront utilisées qu'à des fins défensives - pour atténuer les vulnérabilités en matière de cybersécurité ou y remédier. Nous ne communiquerons pas votre nom ou vos coordonnées sans votre autorisation expresse.

Nous acceptons les rapports de vulnérabilité en remplissant le formulaire ci-dessous ou en envoyant un courriel à l'adresse security.vdr@ansell.com. Les rapports peuvent être soumis de manière anonyme. Si vous nous communiquez vos coordonnées, nous accuserons réception de votre rapport dans les trois jours ouvrables.

Nous ne prenons pas en charge les courriels cryptés par PGP. Pour les informations particulièrement sensibles, veuillez utiliser le formulaire HTTPS ci-dessous.

Ce que nous attendons de vous

Afin de nous aider à trier les demandes et à les classer par ordre de priorité, nous recommandons que vos rapports.. :

• Décrire l'endroit où la vulnérabilité de la cybersécurité a été découverte et l'impact potentiel de son exploitation.
• Fournir une description détaillée des étapes nécessaires pour reproduire la vulnérabilité en matière de cybersécurité (des scripts de démonstration ou des captures d'écran sont utiles), y compris (le cas échéant) :
  o Version de l'application mobile
  o Type d'appareil, version du système d'exploitation, version du navigateur
• En anglais, si possible.

Ce que vous pouvez attendre de nous

Lorsque vous choisissez de nous communiquer vos coordonnées, nous nous engageons à coordonner nos activités avec vous de la manière la plus ouverte et la plus rapide possible.

• Dans un délai de 5 jours ouvrables, nous accuserons réception de votre déclaration.
• Dans la mesure de nos possibilités, nous vous confirmerons l'existence de la vulnérabilité en matière de cybersécurité et serons aussi transparents que possible quant aux mesures que nous prenons au cours du processus de remédiation, y compris en ce qui concerne les problèmes ou les difficultés susceptibles de retarder la résolution.
• Nous maintiendrons un dialogue ouvert pour discuter des problèmes.
• En signalant un bogue de sécurité ou une vulnérabilité, vous nous donnez le droit d'utiliser votre rapport à toutes fins utiles.

Questions

Les questions relatives à cette politique peuvent être envoyées à security.vdr@ansell.com. Nous vous invitons également à nous contacter pour nous faire part de vos suggestions en vue d'améliorer cette politique.